Tópico: Tópico unificado para assuntos de informática que não merecem um tópico próprio

[Gabarito]

alersson, muito boas as suas dicas! Vou ver tudo isso.
Obrigado.

[Mussain!]

Entrei só pra postar isso kkkkk

Mas alguém sabe a explicação de o porquê? Isso é algo em java, PHP, como diabo funciona isso?

1 - Entre no site: http://www.vogue.co.uk/

2 - Tecle cima, cima, baixo, baixo, esquerda, direita, esquerda, direta, “B”;

3 - Logo em seguida, aperte repetidas vezes a tecla “A”.





Fonte:

http://www.tecmundo.com.br/video-game/41824-digite-o-codigo-da-konami-em-sites-britanicos-e-tenha-uma-surpresa-incrivel.htm

[SnowRaptor]

Não é só ver o código fonte?

[Mussain!]

E eu lá sei programar em nada rsrsrs. Mas destaca aqui o código:
view-source:http://www.vogue.co.uk/

Queria só entender como funciona.

[SnowRaptor]

Uai, você não era todo ráquio?

Pode ser tanto HTML5 quanto JavaScript pra detectar os keystrokes.

Mas os dinossaurinhos andando certamente são HTML 5

[Mussain!]

Eu mesmo disse que sou lammer. Embora eu tenha dito que goste mais da área de segurança e tráfico de redes... Mas valeu. Vou dá uma olhada depois.


Xero, Snow!

[SnowRaptor]

Eu mesmo disse que sou lammer. Embora eu tenha dito que goste mais da área de segurança e tráfico de redes... Mas valeu. Vou dá uma olhada depois.

Lammer, mó palavra anos 90. =)

Xero, Snow!

Sô espada, rapá!

(pra manter o clima 90's)

[Gigaview]

Vixe!!!! Que papo mais bokomoko...

[D|V]

Tem um (ou mais) computador aqui na rede que tá infectado com alguma coisa, e essa coisa tá fazendo port scan aqui, e também lá na rede do CEFET (a qual estamos conectados), o que tá fazendo com que o firewall deles bloqueiem nosso IP, aí a gente fica sem conseguir acessar o site e outras coisas.
Vou botar um switch aqui com toda o tráfego da nossa rede espelhado numa porta, e capturar o que passa com o Wireshark pra tentar descobrir qual o computador.

A minha pergunta é : qual o filtro mais eficaz que posso usar?

[Price]

Tem um (ou mais) computador aqui na rede que tá infectado com alguma coisa, e essa coisa tá fazendo port scan aqui, e também lá na rede do CEFET (a qual estamos conectados), o que tá fazendo com que o firewall deles bloqueiem nosso IP, aí a gente fica sem conseguir acessar o site e outras coisas.
Vou botar um switch aqui com toda o tráfego da nossa rede espelhado numa porta, e capturar o que passa com o Wireshark pra tentar descobrir qual o computador.

A minha pergunta é : qual o filtro mais eficaz que posso usar?

Você sabe o método utilizado para verificação de portas? Dependendo do caso um filtro básico por protocolo já resolve.

[D|V]

Tem um (ou mais) computador aqui na rede que tá infectado com alguma coisa, e essa coisa tá fazendo port scan aqui, e também lá na rede do CEFET (a qual estamos conectados), o que tá fazendo com que o firewall deles bloqueiem nosso IP, aí a gente fica sem conseguir acessar o site e outras coisas.
Vou botar um switch aqui com toda o tráfego da nossa rede espelhado numa porta, e capturar o que passa com o Wireshark pra tentar descobrir qual o computador.

A minha pergunta é : qual o filtro mais eficaz que posso usar?

Você sabe o método utilizado para verificação de portas? Dependendo do caso um filtro básico por protocolo já resolve.

Não sei, não sei nem com o que o computador está infectado.
Vou mandar um email pro cara da rede lá do Maracanã e ver se ele pode me passar essa informação, mas também não sei se ele vai saber.

Tem algum protocolo que seja mais comum pra fazer port scan?

[Price]

Tem um (ou mais) computador aqui na rede que tá infectado com alguma coisa, e essa coisa tá fazendo port scan aqui, e também lá na rede do CEFET (a qual estamos conectados), o que tá fazendo com que o firewall deles bloqueiem nosso IP, aí a gente fica sem conseguir acessar o site e outras coisas.
Vou botar um switch aqui com toda o tráfego da nossa rede espelhado numa porta, e capturar o que passa com o Wireshark pra tentar descobrir qual o computador.

A minha pergunta é : qual o filtro mais eficaz que posso usar?

Você sabe o método utilizado para verificação de portas? Dependendo do caso um filtro básico por protocolo já resolve.

Não sei, não sei nem com o que o computador está infectado.
Vou mandar um email pro cara da rede lá do Maracanã e ver se ele pode me passar essa informação, mas também não sei se ele vai saber.

Tem algum protocolo que seja mais comum pra fazer port scan?

Não entendi o que você quis dizer.

De qualquer modo, meus tempos de pentest se foram, procure um aplicativo chamado Psad, ele deve te ajudar por ser mais fácil (na minha opinião) que o WS para esse tipo de verificação.

[D|V]

Tem um (ou mais) computador aqui na rede que tá infectado com alguma coisa, e essa coisa tá fazendo port scan aqui, e também lá na rede do CEFET (a qual estamos conectados), o que tá fazendo com que o firewall deles bloqueiem nosso IP, aí a gente fica sem conseguir acessar o site e outras coisas.
Vou botar um switch aqui com toda o tráfego da nossa rede espelhado numa porta, e capturar o que passa com o Wireshark pra tentar descobrir qual o computador.

A minha pergunta é : qual o filtro mais eficaz que posso usar?

Você sabe o método utilizado para verificação de portas? Dependendo do caso um filtro básico por protocolo já resolve.

Não sei, não sei nem com o que o computador está infectado.
Vou mandar um email pro cara da rede lá do Maracanã e ver se ele pode me passar essa informação, mas também não sei se ele vai saber.

Tem algum protocolo que seja mais comum pra fazer port scan?

Não entendi o que você quis dizer.

De qualquer modo, meus tempos de pentest se foram, procure um aplicativo chamado Psad, ele deve te ajudar por ser mais fácil (na minha opinião) que o WS para esse tipo de verificação.

Eu disse que eu não sei qual é o método utilizado pra fazer o port scan, por isso não sei qual o protocolo que está sendo utilizado pelo malware pra fazer esse ataque na nossa rede.
Imaginei que tivesse algum protocolo mais comum pra fazer port scan, mas pelo que li aqui dá pra usar praticamente qualquer protocolo pra isso, então não vai adiantar um filtro baseado em protocolo.

O psad é só pra Linux né? Aqui é Windows

[Price]

Peraí, o atacante está dentro da rede com um computador infectado ou fora atacando generalizadamente? Como você descobriu isso? Quantos computadores na rede?

[Mussain!]

Não sou muito bom nessas coisas, mas vamos ver se entendi... Em suma, uma ou mais máquinas de de uma rede que vc tem a permissão de excutar a senha root está scaneando as vulnerabilidades desta rede e isso está bloqueando o IP de uma outra máquina desta rede? Mas como...? 

Dica bem simples: Qualquer programa que gere um log da placa de rede matriz, e caboom! Vc acha.



Tire um relatório "nertwork" com esse programa free speccy, e veja desde os acessos as portas às portas de escuta e seus IPs.

Site para downoad:
http://www.piriform.com/speccy

[D|V]

Peraí, o atacante está dentro da rede com um computador infectado ou fora atacando generalizadamente? Como você descobriu isso? Quantos computadores na rede?

Seguinte : eu estou na unidade do CEFET de Nova Friburgo. Temos a nossa rede aqui com pouco mais de 100 computadores. Nossa rede é conectada à rede lá do CEFET do Maracanã por meio de uma rede virtual. O computador infectado está dentro da nossa rede aqui em Friburgo. Eu descobri porque volta e meia o site do CEFET ficava inacessível pra quem estivesse tentando acessá-lo de dentro da nossa rede aqui em Friburgo. Liguei pro cara da TI lá da unidade do Maracanã pra saber o que estava acontecendo, e ele viu lá que o firewall deles estava bloqueando o nosso IP porque estava partindo um ataque de port scan da nossa rede pra rede deles.
O problema é que eu não sei qual computador está infectado, porque lá no firewall deles aparece só o IP do nosso gateway. Pra evitar de ir olhando de computador em computador pra ver qual o problemático, eu pretendo fazer esse esquema com o Wireshark pra ver de qual IP da nossa rede interna aqui de Friburgo tá partindo o port scan.

[D|V]

Não sou muito bom nessas coisas, mas vamos ver se entendi... Em suma, uma ou mais máquinas de de uma rede que vc tem a permissão de excutar a senha root está scaneando as vulnerabilidades desta rede e isso está bloqueando o IP de uma outra máquina desta rede? Mas como...? 

Dica bem simples: Qualquer programa que gere um log da placa de rede matriz, e caboom! Vc acha.



Tire um relatório "nertwork" com esse programa free speccy, e veja desde os acessos as portas às portas de escuta e seus IPs.

Site para downoad:
http://www.piriform.com/speccy

O Wireshark já faz isso, o que eu preciso é de um filtro pra poder pegar só aquela informação que vai me indicar qual o IP do computador atacante. Sem um filtro (por exemplo, o protocolo que está sendo usado pra esse port scan, algum IP que esse malware tá atacando), eu vou ter um caralhada de dados que não vou conseguir analisar.

[SnowRaptor]

Fecha todas as portas que não sejam a porta 80 no seu firewall e manda ele reportar os abusos.

Em média, cada máquina vai aparecer algumas vezes no log, mas deve ter alguma que se destaca.

Entretanto, se você tem um zubi na sua rede fazendo scan pra fora, provavelmente ele já comprometeu outras máquinas dentro. Melhhos fazer o esquema de passar antivirus/antimalware em todas delas, cada uma desplugada da rede e pãnz. Não sei mais se ainda se faz isso no Uíndios, mas se vc é admin do treco, deve ter seus procedimentos.

[Mussain!]

Ah bom, então no fim das contas é um vírus atuando, mah. É só limpar as máquinas.

Obs: Dependendo do vírus, mesmo que vc pegue o IP deste computador em questão, o vírus ta na rede já, uma hora outra ele irá se hospedar em outro PC. Roda logo algo em todas as máquinas e pronto mah.

Dica de uma sequencia, já que é windows:

1 - Combofix.
2 - MalwareBytes (Só aqui é pro seu PC ficar uma bunda de neném da pampers)
3 - SCANS FREE ONLINE (Panda e principalmente Kaspersky)

Mas já que parece que vc entender do assunto, basta passar só o Kaspersky online e analisar o log gerado. Vai direto na fonte, que no seu caso seria o port scam, e pronto. A vantagem é que é "só um clique"... No seu caso, "100" cliques rsrsrsrsrsrs



TSC... O snow foi mais rápido... rsrsrs

[SnowRaptor]

TSC... O snow foi mais rápido... rsrsrs

Sempre

mas ocẽ ganha pontos por saber quais as ferramentas da moda no Uíndios.

[Mussain!]

É legal o quanto eu defendo as distros e programas livres, mas ainda sou windows total.... To começando a entender melhor o android, já linux... Não consigo usar...

[Price]

Ah bom, então no fim das contas é um vírus atuando, mah. É só limpar as máquinas.

Obs: Dependendo do vírus, mesmo que vc pegue o IP deste computador em questão, o vírus ta na rede já, uma hora outra ele irá se hospedar em outro PC. Roda logo algo em todas as máquinas e pronto mah.

Dica de uma sequencia, já que é windows:

1 - Combofix.
2 - MalwareBytes (Só aqui é pro seu PC ficar uma bunda de neném da pampers)
3 - SCANS FREE ONLINE (Panda e principalmente Kaspersky)

Mas já que parece que vc entender do assunto, basta passar só o Kaspersky online e analisar o log gerado. Vai direto na fonte, que no seu caso seria o port scam, e pronto. A vantagem é que é "só um clique"... No seu caso, "100" cliques rsrsrsrsrsrs

TSC... O snow foi mais rápido... rsrsrs

Qual a lógica em utilizar o MalwareBytes depois do Combofix?

[D|V]

Fecha todas as portas que não sejam a porta 80 no seu firewall e manda ele reportar os abusos.

Em média, cada máquina vai aparecer algumas vezes no log, mas deve ter alguma que se destaca.

Entretanto, se você tem um zubi na sua rede fazendo scan pra fora, provavelmente ele já comprometeu outras máquinas dentro. Melhhos fazer o esquema de passar antivirus/antimalware em todas delas, cada uma desplugada da rede e pãnz. Não sei mais se ainda se faz isso no Uíndios, mas se vc é admin do treco, deve ter seus procedimentos.

Eu sou o "admin" né, porque na verdade meu cargo é outro, mas como eu tenho técnico em informática, acabo ficando de quebra galho. E sou eu sozinho também, graças ao Lula e sua política de expansão desenfreada de Universidades e Institutos. Abriu um montão, mas tudo sem estrutura nenhuma. Lá onde trabalho não entrou ninguém de TI no concurso que teve em 2009, e até hoje não teve outro pra suprir as vagas. A sorte é que eu saco disso, porque se eu não tivesse lá, não teria uma pessoa sequer que entendesse disso, .

Mas enfim, vou fazer isso aí que você falou lá no pfsense antes de testar a parada do Wireshark e ver no que vai dar. Mas to ciente de que outras máquinas já devem ter entrado na dança, mas quero saber antes o tamanho do estrago.

[Mussain!]

Ah bom, então no fim das contas é um vírus atuando, mah. É só limpar as máquinas.

Obs: Dependendo do vírus, mesmo que vc pegue o IP deste computador em questão, o vírus ta na rede já, uma hora outra ele irá se hospedar em outro PC. Roda logo algo em todas as máquinas e pronto mah.

Dica de uma sequencia, já que é windows:

1 - Combofix.
2 - MalwareBytes (Só aqui é pro seu PC ficar uma bunda de neném da pampers)
3 - SCANS FREE ONLINE (Panda e principalmente Kaspersky)

Mas já que parece que vc entender do assunto, basta passar só o Kaspersky online e analisar o log gerado. Vai direto na fonte, que no seu caso seria o port scam, e pronto. A vantagem é que é "só um clique"... No seu caso, "100" cliques rsrsrsrsrsrs

TSC... O snow foi mais rápido... rsrsrs

Qual a lógica em utilizar o MalwareBytes depois do Combofix?

O combofix é mais "bruto", mais "DOS". O malwarebytes é mais inteligente. A lógica é: "Tire a bosta do boga com papel higiênico (Combofix) e depois passe água e sabão (malwarebytes)".

O antséptico seria o kaspersky kkkkkkkkk Ah, meu deus... eu to doido pra tomar. umas.. num posso falar desses assuntos, que ja quero beber... rsrs

[Mussain!]

Ah, deixo aqui um tutorial que fiz sobre o programa MalwareBytes... Não lembro se estava bebado nesse dia, mas é legalzinho: